盡管Tesla/蔚來汽車近期的起火事件尚沒有正式發布調查結果，但雙方事后都對充電策略進行了調整，其中蔚來汽車則臨時將充電量限制到90%，而香港停車場Model S事前電量充至97%，也有過充的風險。

對于電動汽車來講，起火爆炸是最為嚴重的事件，從事故的嚴重度（Severity）、暴露率（Exposure）和可控性（Controllability）綜合來看，都應該是一個ASIL C等級或以上的功能安全目標。在這一點上絕大多數的主機廠的意見是一致。

電芯的過充會直接導致起火爆炸的事件發生，根據ASIL等級的繼承性，這應該也是一個ASIL C或以上的安全目標。

由此，可以得出一個功能安全目標，即在過充的情況下電池包不能發生起火，這需要一個ASIL C等級的設計。通常，電池包會有一系列的功能來防止過充后熱失控的發生，這些相關的功能要滿足ASIL C的要求，從功能的角度來看，主要可以分為3大部分：第1是電壓的監測；第2是過充的判定，即電壓是否超過了限定值；第3 過充確認后執行保護措施，如斷開高壓。功能框圖如下：

大部分的整車或PACK企業會把些功能的實現在電池包內完成，其中，監測主要由傳感器實現，過充判定主要由BMS完成，保護動作執行主要由繼電器實現。每一個功能都繼承了過充ASIL C的屬性，以下分別來看下每個功能的分析：

電壓監測：首先，由電壓傳感器對電壓進行監測，這里包括電壓采集的精度、采集的頻率；其次，將監測到的電壓數據發送給BMS。這里需要電芯企業提供過壓的閥值。為滿足ASIL C的要求，傳感器的失效率需要供應商提供，并且要能滿足要求，如失效率過高，就需要選用失效率低的產品，或是冗余一個傳感器；電壓數據傳輸路徑CAN能否滿足失效率要求，否則也需要增加一個冗余方案。如果采用了冗余的設計，就涉及到ASIL的分解，比如說一個定為ASIL B，另一個定為ASIL A。

過充判定：

BMS收到采集來的電壓數據，會根據電芯的過壓的判定條件對是否過壓進行判定。這里可能會涉及到不同的策略，不同的企業可能也有不同的做法，常見的是將電壓分等級，當電壓超過電壓閥值1時（比如超過4.2V多少時間），BMS發送該等級的過壓指令，當電壓超過電壓閥值2時（比如超過5V多少時間），BMS發送該等級的過壓指令，根據等級的嚴重程度可以都繼承ASIL C的屬性，也可以允許個別等級低于ASIL C。如果BMS一直沒有收到電壓數據，也會做出相應的安全指令。

保護動作執行：

根據BMS對過電壓等級的判定，以及發送的指令，繼電器或其他部件進行熱行。通常，較低過電壓會發送報警信息給到整車，并通過聲音或可視信號告知車主，較高過電壓的會執行關斷高壓的指令。同樣地，如果沒有接收到BMS發來信號即BMS與執行功能之間的通訊失效，繼電器也應該關斷高壓。

整個過充功能安全設計的思路如下：

以上任何一個功能環節出現問題都將無法防護過充造成進一步的危害。回到蔚來的這次事故，假定是由于過充導致的起火，則可能的情況：

（1） 發生過充，但是沒有監測到，在采集環節出現了問題，沒有采集到，或是采集的精度發生變化，采集不準確；

（2）準確采集到了電壓但在過充判定時，計算出現了問題，SOC本身往往就具有比較大的誤差；

（3） BMS發出過充指令，繼電器發生故障，如粘連，無法斷開高壓。

在長時間發生過充的情況下，電芯正負極，隔膜等溫度持續升高，最終導致單個電芯開始冒煙，起火，進而引起相鄰電芯發生熱失控。